【文章內(nèi)容簡介】 ......37 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 圖 Linux ARP 狀態(tài)機 .................................................................................41 圖 四源綁定原理圖 ....................................................................................45 圖 防端口掃描數(shù)據(jù)結(jié)構(gòu)的組織關(guān)系 ........................................................51 圖 防端口掃描命中函數(shù)流程圖 ................................................................54 浙江大學(xué)碩士學(xué)位論文 目錄 IV 表目錄 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 1 第 1章 緒論 課題背景 網(wǎng)絡(luò)安全發(fā)展 TCP/IP 是現(xiàn)在 Inter 上使用的最流行的協(xié)議 之一 ，它 大概在 70 年代 的時候 被開發(fā)出來，并最終與 Linux 結(jié)合在一起，從那 時候 起，它就成為了 Inter的 標準 之一 。 如 今 ，幾乎所有 的 計算機都運行著某種形式的 TCP/IP 協(xié)議。 TCP/IP協(xié)議 可以在各種不同的硬件和操作系統(tǒng)上工作，因而利用 TCP/IP 可以迅速方便地創(chuàng)建一個網(wǎng)絡(luò) 系統(tǒng) 。但是， 在 1966 年 Inter 剛剛 創(chuàng) 建 的時候 ， 當時的 創(chuàng)始者 沒有對安全問題考慮的太多。當時創(chuàng)建者注重的是網(wǎng)絡(luò)的 通信 功能，因此Inter 和 TCP/IP 并沒有被過多的考慮安全性 的 問題 。所以現(xiàn) 有 的安全機制被經(jīng)常 拿來 修改以適應(yīng)現(xiàn)有的網(wǎng)絡(luò)和 TCP/IP 協(xié)議 。 經(jīng)過時間的推移，網(wǎng)絡(luò)攻擊的手段和技術(shù)也不斷的更新，用戶也對網(wǎng)絡(luò) 設(shè)備 提出更高的要求， 網(wǎng)絡(luò)設(shè)備 也要對這些攻擊有 一定的防御 能力。隨著網(wǎng)絡(luò)攻擊手段的不斷變化和發(fā)展，網(wǎng)絡(luò) 設(shè)備 的防攻擊能力也隨之不斷 的提高。 低端路由器安全問題 本論文主要研究如何在 低端 路由器 上實現(xiàn)一些預(yù)防網(wǎng)絡(luò)攻擊的模塊，原來在一般的網(wǎng)絡(luò)中 防攻擊的功能都集中在高端的防火墻和 IDS 中，這些高端的設(shè)備功能極強，能防止網(wǎng)上能夠很多的攻擊手段。所以在高端的組網(wǎng)中，網(wǎng)絡(luò)的安全性往往較高。但在低端的市場中，由于組網(wǎng)經(jīng)費上的限制，設(shè)備和組網(wǎng)往往比較簡單，不可能有專門的防火墻和入侵檢測系統(tǒng)。如：中小企業(yè)網(wǎng)和一般的網(wǎng)吧中只有一臺簡單的路由器和幾臺簡單的交換機。不會有專業(yè)的防火墻和IDS 這些貴重的設(shè)備，所以這些企業(yè)和小網(wǎng)吧經(jīng)常受到各種網(wǎng)絡(luò)的攻擊，用戶在網(wǎng)吧中頻頻掉線，網(wǎng)速大受影響。如今，網(wǎng)絡(luò)攻擊的手段和技術(shù)也不斷的更新，像當前比較流行的 ARP攻擊的產(chǎn)生，迫使低端 的路由器也有防 ARP的一些功能。 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 2 主要的工作和 方法 本文主要根據(jù)用戶的需求對一些典型網(wǎng)絡(luò)攻擊進行了研究。 分析每一這種攻擊的原理和方法， 并根據(jù)分析的結(jié)果，針對每一種典型的攻擊手法，在 Liunx系統(tǒng)下實現(xiàn) 防攻擊的模塊。 并且分析當前的防攻擊方法，提出改進方法。 本課題旨在通過 對需求和攻擊的研究 ，根據(jù) TCP/IP 的通信原理提出滿足低端路由器防攻擊的合理方案 。 低端路由器防攻擊需求 低端路由器的用戶群體 低端路由器的市場十分廣闊，包括中小企業(yè)、網(wǎng)吧、醫(yī)院、大酒店、高校，甚至可以是家庭用戶。這些群體對于路由器的安全需求雖 然沒有政府和電信機房的要求那么高，但是也有 對網(wǎng)絡(luò)安全性的基本需求 。 低端用戶對防攻擊的需求 中小企業(yè)：該組網(wǎng)主要完成企業(yè)內(nèi)部協(xié)同工作交流，在內(nèi)網(wǎng)內(nèi)架設(shè)服務(wù)器，防止員工做一些有害網(wǎng)絡(luò)的服務(wù)，防止惡意軟件的 ARP 攻擊，防止惡意黑客從外網(wǎng)發(fā)起的惡意攻擊。 網(wǎng)吧：該組網(wǎng)情況下對防攻擊要求更加高，即要防止內(nèi)網(wǎng)惡意用戶發(fā)起的攻擊，又要兼顧外網(wǎng)惡意攻擊核心路由器，導(dǎo)致核心路由器的癱瘓。 家庭用戶：主要防止瀏覽有病毒的網(wǎng)站，防止外網(wǎng)對內(nèi)網(wǎng)的一些攻擊。 滿足用戶需求的路由器 防攻擊 路由器必須滿足用戶需求。針對以上三種用戶的需 求，路由器的防攻擊必須滿足以下幾點： （ 1）必須能防御內(nèi)網(wǎng)攻擊。內(nèi)網(wǎng)的攻擊，針對網(wǎng)吧來說，最主要的就是 ARP攻擊和 ARP 欺騙。針對企業(yè)，除了防 ARP 以外，還要防止惡意用戶接入內(nèi)網(wǎng)造成危害。 （ 2）其次要能控制內(nèi)網(wǎng)用戶訪問外網(wǎng)危險的服務(wù)?？刂凭W(wǎng)內(nèi)用戶的服務(wù)，必須浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 3 要用到訪問控制列表 (ACL)，用該技術(shù)來嚴格控制報文。 （ 3）能防御外網(wǎng)發(fā)起的各種攻擊。外網(wǎng)發(fā)起的攻擊主要是一些拒絕服務(wù)的攻擊來消耗設(shè)備的 CPU,降低設(shè)備的性能，從而使設(shè)備不能轉(zhuǎn)發(fā)正常的報文。所以 路由器 要能識別異常的流量報文，當報文流量達到 路由器 規(guī)定的閥值時，就認為是攻擊報文，從而達到保護設(shè)備的目的。 本文結(jié)構(gòu)組織 第一章 ：緒論 主要描述了低端路由器防攻擊的背景和現(xiàn)在尷尬的處境，本文要解決的防攻擊的意義。描述了用戶對防攻擊路由器的需求，本文研究的方法和要解決的問題。 第二章：數(shù)據(jù)通信領(lǐng)域安全的測試方法 分析網(wǎng)絡(luò)攻擊必須了解攻擊報文和網(wǎng)絡(luò)設(shè)備，本章就簡單的從 TCP/IP 的角度描述了攻擊報文的構(gòu)造和網(wǎng)絡(luò)設(shè)備的基本概念。 第三章：針對低端路由器的攻擊 本章從客戶需求分析 出用戶主要想防范的典型的攻擊： ARP 攻擊、木馬病毒和 DOS 攻擊，詳細的分析了各種 攻擊的手法和原理。 第四章：訪問控制控制用戶訪問 本章詳細分析了 ACL訪問控制列表技術(shù)。通過該技術(shù)來實現(xiàn)網(wǎng)頁訪問的控制和用戶接入的控制來防止用戶訪問不安全的網(wǎng)站受到木馬的攻擊。 第五章：低端路由器防 ARP 攻擊的實現(xiàn) 詳細分析了 Linux 系統(tǒng)中的 ARP 原理，在 Linux 系統(tǒng)下實現(xiàn) IP/MAC 綁定原理。提出 IP/MAC 綁定防 ARP 的缺陷，提出四源綁定機制來徹底防住 ARP 攻擊。 第六章：防 DOS 攻擊和防端口掃描攻擊 在 Linux系統(tǒng)下實現(xiàn)防 DOS 攻擊和防端口掃描攻擊。 第七章：低端路由器防攻擊總結(jié) 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 4 對本文防攻擊的 回顧，總結(jié)主要研究和創(chuàng)新，提出優(yōu)點和不足，提出以后應(yīng)該改進的方面。 本章小結(jié) 隨著計算機技術(shù)的不斷發(fā)展，人們對網(wǎng)絡(luò)安全的要求越來越高，不單單那些大型的企業(yè)和政府需要有安全設(shè)備的保護，不受黑客的攻擊。普通的小企業(yè)和個人電腦用戶也對自己的隱私和安全更加重視。中小企業(yè)用戶的需求也不能視而不見?，F(xiàn)在業(yè)界對低端的路由器也要求有基本的防攻擊能力，一般的僅僅能進行報文快速轉(zhuǎn)發(fā)的路由器已經(jīng)不能滿足用戶的需求。 低端路由器的其他性能也在不斷的向高端靠近，但在成本上卻是要有嚴格的控制，在低成本的情況下做出高效的有安全模塊的低端 路由器，幾乎是每個通信公司努力的方向。低端 設(shè)備 也要向更高的安全性方向發(fā)展。 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測試方法 5 第 2章 數(shù)據(jù)通信領(lǐng)域安全測試方法 網(wǎng)絡(luò)安全測試 網(wǎng)絡(luò)攻 擊從根本上講就是通過構(gòu)造異常的報文來破環(huán)正常的一些報文通信規(guī)則，導(dǎo)致一些網(wǎng)絡(luò)設(shè)備工作異常，不能轉(zhuǎn)發(fā)正常的數(shù)據(jù)報文或者發(fā)出異常的數(shù)據(jù)報文。 在數(shù)據(jù)通信安全領(lǐng)域安全的測試方法歸根到底也是要分析 異常的 數(shù)據(jù)報文 對網(wǎng)絡(luò)設(shè)備的影響 ，所以對網(wǎng)絡(luò)攻擊的分析就是對攻擊報文的分析 和對網(wǎng)絡(luò)設(shè)備的影響 。所以接下來要討論攻擊報文的構(gòu)造 和網(wǎng)絡(luò)設(shè)備的概念 。 報文構(gòu)造 網(wǎng)絡(luò)協(xié)議的分層思想 網(wǎng)絡(luò)協(xié)議一般都按照不同的層次來 開發(fā)，各個層次都會有自己的功能和用處，每個層次也有不同的 協(xié)議族。每個協(xié)議族都維護著各自的協(xié)議。通信的時候，報文就經(jīng)過一層層的解析，然后分析每一層的協(xié)議族來獲取報文中的信息。 TCP/IP 協(xié)議族一般被分成四層協(xié)議系統(tǒng) ： 4 應(yīng)用層 3 運 輸層 2 網(wǎng)絡(luò)層 1 鏈路層 其中的每一層都有不同的功能和作用，一般也都有這一層的特殊協(xié)議 （ 1） 鏈路層 ： 有時也叫數(shù)據(jù)鏈路層或者接口層 。 一般就是指操作系統(tǒng)中的設(shè)備驅(qū)動程序和計算機網(wǎng)卡等，它們往往通過電纜和光纖來傳輸類似 0101 的二進制代碼，電纜通過電信號電頻的高低來傳 輸，光纖就通過光信號來傳輸。 （ 2） 網(wǎng)絡(luò) 層： 又叫互聯(lián)網(wǎng)層，這層主要定義了一個報文的怎么樣在網(wǎng)絡(luò)中選路，怎么樣在網(wǎng)絡(luò)中走，應(yīng)該送到哪個設(shè)備上去 ，應(yīng)該做一些什么事情。比如：這層最有名的協(xié)議就是 IP 協(xié)議了，它主要定義了源 IP 地址和目的 IP 地址，浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測試方法 6 網(wǎng)絡(luò)層主要通過該 IP 地址的信息來把報文從一個設(shè)備傳輸?shù)搅硪粋€設(shè)備。還有ICMP（互聯(lián)網(wǎng)控制報文協(xié)議），這個協(xié)議最初主要是用來檢測網(wǎng)絡(luò)是否能正常通信的協(xié)議。 （ 3） 運輸 層： 主要位 PC 機上的應(yīng)用程序提供端到端的通信 。 在 TCP/IP 協(xié)議族中一般就是指 TCP 協(xié)議（傳輸控制協(xié)議）和 UDP 協(xié)議（用戶數(shù)據(jù)報協(xié)議）。TCP 一般為 PC 之間提供可靠性極高的傳輸，是有連接的傳輸，在傳輸之前會先同過一些測試報文來把藥傳輸?shù)耐ǖ老冗B接起來，當傳輸通道連接起來以后再開始傳輸數(shù)據(jù)報文，而且當報文傳輸失敗時，還會重傳。然而 UDP 相比 TCP 而言就是一個很簡單的協(xié)議了 ，它只是負責把報文從一端傳輸?shù)搅硗庖欢尉涂梢粤?，是否傳輸失敗或者丟包，它都不會去關(guān)心。 （ 4） 應(yīng)用層 ： 這一層主要負責 PC 上各種應(yīng)用程序的通信細節(jié) 。 應(yīng)用層最主要的就是端口號，一般的應(yīng)用程序都是通過不同的端口號來進行相互的通信的，端口號可以從 0 到 65535。比如 FTP 就是用 TCP 目的端口號 20和 21 來傳輸報文的，通過 20 端口來建立傳輸通道，當傳輸通道建立好了以后，再用 21端口來傳輸數(shù)據(jù)報文。 TFTP 就是用 UDP 目的端口號 69 來傳輸報文。還有就是大名鼎鼎的 HTTP 協(xié)議， 用戶 上網(wǎng)打開網(wǎng)頁用的都是該協(xié)議，該協(xié)議就是通過TCP 的目的端口 80 來傳輸報文的，當 PC 接收到該報文后，把報文中的數(shù)據(jù)部分解析出來就是 HTML文件 ，所以 用戶 在 PC 上就 打開 網(wǎng)頁了。 [1] TCP 報文的結(jié)構(gòu) 要想測試設(shè)備安全性，首先需要構(gòu)造報文，盡管有些工具提供了報文構(gòu)造的便捷途徑，但是要做構(gòu)造 大量的精確的報文，必須要掌握最基礎(chǔ)的報文構(gòu)造原理和方法，就拿構(gòu)造一個 TCP 報文來說，因為 TCP 報文屬于傳輸層報文，那么必須先構(gòu)造一個鏈路層報文，然后在這個鏈路層報文的基礎(chǔ)上加上一個網(wǎng)絡(luò)層的包頭形成三層的報文網(wǎng)絡(luò)報文，最后在加上一個 TCP 包頭，就成為了傳輸層的 TCP 報文。 [1]史蒂文斯 .TCP/IP 詳解 [M].北京 :機械工業(yè)出版社 ， 20xx. 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測試方法 7 如何構(gòu)造鏈路層報文，如圖 該鏈路層報文包括目的 MAC 地址和源 MAC地址，該 MAC 地址是 6 位的長度，表示了網(wǎng)絡(luò)上網(wǎng)卡的身份。它就想鏈路層的身份證一樣，表示了這張網(wǎng)卡的信息。之后有兩位是類型，該類型表示鏈路層上一層網(wǎng)絡(luò)層的協(xié)議是什么，如果是 OX0800 就表示上層協(xié)議是 IP 協(xié)議，還有IPX 協(xié)議等。 目 的 地 址以 太 網(wǎng) 封 裝 幀源 地 址 類 型 C R C 校 驗66 24 1 5 0 0 圖 鏈路層 報文層格式 構(gòu)造好了二層報文，只要在其上加一個網(wǎng)絡(luò)層的 IP 包頭，就成了網(wǎng)絡(luò)層的 IP 報文，至于 IP 數(shù)據(jù)報文格式，如圖 所示。 4 位 版 本0 1 5 1 64 位 首 部 長度8 位 服 務(wù) 類 型（ T O S ）3 2 位 源 I P 地 址1 6 位 長 度 （ 字 節(jié) 數(shù) ）1 3 位 片 位 移1 6 位 標 志1 3 位 標 志8 位 生 存 時 間（ T T L ）8 位 協(xié) 議 1 6 位 首 部 檢 驗 和3 2 位 目 的 I P 地 址選 項數(shù) 據(jù)3 1 圖 IP 數(shù)據(jù)報文格式及首部中的各個字段 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測試方法 8 4 位版本：目前 業(yè)界 用的最廣泛的是 IPV4，就是第四版本的意思，但隨著網(wǎng)絡(luò)中的 IP 地址越來越不夠用了，所以以后 IPV6，就是第六版本的 IP 會出現(xiàn)，會來克服 IPV4 地址不足的問題。 4 位首部